Am 11. Februar 2014 genehmigte die FSTEC von Russland das Methodendokument „Maßnahmen zur Informationssicherheit in staatlichen Informationssystemen“. Dieses Dokument wird verwendet, um „in Bezug auf Informationen, die nicht mit Staatsgeheimnissen zusammenhängen und in staatlichen Informationssystemen (GIS) enthalten sind, Schutzmaßnahmen auszuwählen und umzusetzen, die darauf abzielen, Vertraulichkeit, Integrität und Zugänglichkeit von Informationen zu gewährleisten“. Die Regulierungsbehörde empfiehlt die Verwendung dieses Dokuments zum Schutz von Informationen sowohl in GIS- als auch in nichtstaatlichen Informationssystemen, einschließlich der Gewährleistung der Sicherheit personenbezogener Daten.
In dem Dokument werden die empfohlenen Informationsschutzmaßnahmen in Bezug auf bestimmte Systemklassen aufgeführt, z. B. Authentifizierungstools, Virenschutzprogramme, IDS / IPS usw. Die Regulierungsbehörde weist jedoch nicht direkt auf die Notwendigkeit hin, vertrauliche Datenschutzsysteme gegen Lecks (DLP) zu verwenden. Diese Systeme ermöglichen es jedoch, Anforderungen wie die Gewährleistung der Vertraulichkeit, die Integrität der vom Informationssystem übertragenen Informationen, die Aufzeichnung von Sicherheitsereignissen usw. zu erfüllen.
Wo finden wir also die Schnittpunkte zweier auf den ersten Blick paralleler Phänomene - Regulatorik und Leckageschutz? Details unter dem Schnitt.
Lassen Sie uns zunächst einige Worte zum Zweck von DLP-Systemen sagen. Die Implementierung von DLP hat folgende grundlegende Ziele:
- Verhinderung des Verlusts vertraulicher Informationen.
- Sammlung von Informationen über Vorfälle und Verstöße zur Beweisbildung bei Übermittlung von Fällen an ein Gericht.
- Pflege eines Archivs von Benutzeraktionen und einer retrospektiven Analyse, um Anzeichen von Betrug zu identifizieren.
Aus langjähriger Erfahrung können wir sagen, dass es viele Aufgaben gibt, die Kunden mit DLP lösen, bis hin zu den engsten und spezifischsten. Wir werden sie außerhalb des Rahmens dieses Materials lassen, hier werden wir die grundlegenden betrachten.
Trotz der Tatsache, dass DLP-Systeme keine obligatorischen Informationssicherheitstools sind, können Produkte dieser Klasse die erforderlichen Funktionen für die Implementierung einer Reihe von Maßnahmen bereitstellen, die von der FSTEC in dem oben genannten Dokument empfohlen werden.
Integrität
Beginnen wir mit den wichtigsten Empfehlungen zur Gewährleistung der Integrität des Informationssystems und der Informationen (OTsL), die im FSTEC-Methodendokument vom 11. Februar 2014 enthalten sind.
„OTSL.5 - Kontrolle des Inhalts von Informationen, die vom Informationssystem übertragen werden ( Container basierend auf den Eigenschaften des Zugriffsobjekts und Inhalt basierend auf der Suche nach Informationen, deren Übertragung mit Signaturen, Masken und anderen Methoden verboten ist) und Ausschluss der illegalen Übertragung von Informationen aus dem Informationssystem ".
Welche Maßnahmen schlägt die Regulierungsbehörde vor, um den Inhalt von Informationen zu kontrollieren, und welche davon können mithilfe von Leckschutzsystemen umgesetzt werden?
Illegale Weitergabe geschützter Informationen . Aufdeckung von Tatsachen über die rechtswidrige Übertragung geschützter Informationen aus einem Informationssystem über verschiedene Arten von Netzwerkverbindungen, einschließlich öffentlicher Kommunikationsnetze, und deren Reaktion.
Dieses Verfahren wird abhängig von den verwendeten Kommunikationskanälen mit geteilter Funktionalität für zwei DLP-Komponenten implementiert:
- Die Überprüfung der über http / https-Protokolle übertragenen Informationen auf illegale Übertragung geschützter Daten kann mit den Tools der Web-Proxy-Klassensysteme durchgeführt werden.
- Um den Intranetverkehr beim Senden von Daten von einem Proxyserver oder Routern zu analysieren, können Sie die Übertragung von Dateien und Nachrichten über E-Mail-Protokolle überwachen.
Illegale Aufnahme auf Wechselmedien. Identifizierung von Tatsachen der illegalen Aufzeichnung geschützter Informationen auf nicht nachgewiesenen Wechselmedien und Reaktion darauf.
Der auf der Workstation installierte DLP-Agent überwacht nicht nur Benutzeraktionen, sondern analysiert auch den Inhalt von Dateien und kann die Versuche des Benutzers blockieren, auf USB zu kopieren oder vertrauliche Dokumente zum Drucken zu senden. Die Tatsache, dass das USB-Laufwerk angeschlossen ist, wird auf dem Agenten aufgezeichnet. Entsprechend den Ergebnissen kann der Informationssicherheitsspezialist die DLP-Systemrichtlinie ändern, indem er dieses Laufwerk in die schwarzen oder weißen Listen aufnimmt.
Überwachung der Speicherung geschützter Informationen auf Servern und Arbeitsstationen.
Identifizierung der Fakten zur Speicherung vertraulicher Informationen in gemeinsam genutzten Netzwerkressourcen (gemeinsam genutzte Ordner, Workflow-Systeme, Datenbanken, E-Mail-Archive und andere Ressourcen).
Die angegebenen Maßnahmen können mithilfe der Dateispeicher-Scanfunktion implementiert werden, die in allen fortschrittlichen DLP-Systemen mit unterschiedlichem Grad an Raffinesse implementiert ist. Mit dieser Funktion können Sie Inhalte sowohl auf Datei- / Cloud-Speichern als auch auf lokalen Festplatten und E-Mail-Archiven inventarisieren.
Das Scannen von Dateispeichern zeigt vertrauliche Daten und Verstöße gegen die Regeln für deren Speicherung mithilfe der folgenden Mechanismen an (die Liste kann je nach System variieren):
- Scannen lokaler Netzwerkknoten, öffentlicher Datei- und Cloud-Speicher.
- Scannen von Mailservern, um das Archiv von E-Mails zu analysieren.
- Scannen von Schattenkopierarchiven.
- Gegen Verstöße gegen die Regeln zum Speichern geschützter Daten (Verschieben unzulässiger vertraulicher Informationen in den Quarantänespeicher, Ersetzen durch eine Benachrichtigungsdatei, Kopieren eines Informationssicherheitsspezialisten auf eine Workstation usw.).
- Automatische Klassifizierung von Unternehmensdaten in Abhängigkeit von den Richtlinieneinstellungen.
- Überwachung der Verbreitung von Informationen innerhalb des Unternehmens und Ermittlung von Orten mit inkonsistenter Speicherung kritischer Daten.
Zu den Anforderungen für die Stärkung dieser Maßnahme gehört außerdem die
Blockierung der Übertragung von Informationen aus dem IP mit unangemessenen Inhalten. Mit fast allen DLP-Systemen können Sie diese Anforderungen auf verschiedenen Kommunikationskanälen erfüllen - von E-Mail-Nachrichten bis zum Kopieren auf ein USB-Laufwerk.
Protokollierung von Sicherheitsereignissen
Der zweite wichtige Empfehlungsblock des FSTEC zum Informationsschutz ist die
Registrierung von Sicherheitsereignissen - SSR. Natürlich sollte die Organisation vor Beginn dieser Maßnahmen alle Informationsressourcen (Ressourcen) kategorisieren. Danach können folgende Maßnahmen durchgeführt werden:
Festlegen der Zusammensetzung und des Inhalts von Informationen zu aufzuzeichnenden Sicherheitsereignissen.
Sammeln, Aufzeichnen und Speichern von Informationen über Sicherheitsereignisse während der Hauptspeicherzeit.
Überwachen (Anzeigen, Analysieren) der Ergebnisse der Aufzeichnung von Sicherheitsereignissen und deren Reaktion darauf.
Nicht alle DLP-Lösungen können die Tatsache und den Zeitpunkt der Benutzerauthentifizierung in Informationssystemen sowie Informationen zu den den Benutzern gewährten Rechten anzeigen. In den meisten Fällen können Sie jedoch das Verbot des Startens bestimmter Anwendungen konfigurieren und Benutzeraktionen steuern, wenn Sie in verschiedenen Informationssystemen arbeiten. In fortgeschrittenen DLP-Systemen wird in der Regel eine erweiterte Abstufung von Ereignissen hinsichtlich ihres Kritikalitätsniveaus bis zu 4-5 Stufen implementiert. Es ist sehr praktisch, um Ereignisse zu profilieren, Berichte zu erstellen und Statistiken zu sammeln. Nach der Analyse dieser Ereignisse entscheidet ein mit dem System arbeitender Informationssicherheitsspezialist, ob ein Informationssicherheitsvorfall aufgetreten ist.
Durch Speichern aller Ereignisse in der Datenbank des DLP-Systems können Sie beim Aktualisieren von Richtlinien eine retrospektive Analyse und Untersuchung durchführen.
Schutz des geistigen Eigentums, seiner Mittel und Systeme zur Kommunikation und Datenübertragung
Kehren wir zu den grundlegenden Zielen zurück, denen sich DLP-Systeme gegenübersehen. Als Ergebnis ausgereiften Denkens wird deutlich, dass nicht nur die Fähigkeit zum Sammeln und Konsolidieren verschiedener Arten von Protokollen für deren Erreichung wichtig ist, sondern auch der Schutz der gesammelten Daten während ihrer Übertragung / Verarbeitung und Speicherung. Tatsächlich sprechen wir über das Konzept der Nicht-Zurückweisung beim Erstellen, Senden und Empfangen von Informationen, über die wir
im vorherigen Artikel ausführlich gesprochen haben
. Sie können dieses Maß aus verschiedenen Blickwinkeln betrachten. Bei der Implementierung einiger DLP-Systeme werden nur zusätzliche kommerzielle SZI und CPSI verwendet, um eine "Nicht-Zurückweisung" sicherzustellen. Bei anderen können Sie die Standardfunktionen des Betriebssystems verwenden. Überlegen Sie, worauf Sie sich beispielsweise in der CentOS OS- und PostgreSQL-Datenbank verlassen können:
- Volumenverschlüsselung durch Sektoren, die in den Kern des Betriebssystems DM_Crypt integriert sind.
- Datenbankverschlüsselung - das pgcrypto-Modul (Verschlüsselung von Tabellen und Zeilen der Datenbank selbst, die unter anderem den Schutz vor privilegierten Benutzern, einschließlich IT-Personal, ermöglicht).
- Erstellen einer sicheren Verbindung im Cluster zwischen der Datenbank "pg_hba.conf".
- Schutz der Client-Server-Verbindung - tatsächlich ist TLS 1.2 und höher erforderlich.
Trotz der Tatsache, dass die FSTEC die Verwendung kryptografischer Schutzmittel nicht regelt, wird es zusätzlich als ratsam angesehen, das
Informationssystem, seine Mittel und Kommunikations- und Datenübertragungssysteme (VMS) mit Verschlüsselung zu schützen
, damit das DLP-System selbst nicht in die Hände kompetenter IT-Mitarbeiter gelangt Verlust von proprietären Informationen. Da die oben genannten Tools Komponenten des Betriebssystems und der zugehörigen Software sind, ist das obige Beispiel privater Natur. In jedem Fall können Sie jedoch bei Bedarf immer eine Open Source / kostenlose Alternative zu vorhandenen kommerziellen Mitteln zum Schutz kryptografischer Informationen finden. Hier stellt sich jedoch sofort die Frage nach der Zertifizierung dieser Lösungen, und dies ist ein Thema für ein separates Gespräch.
In unserem nächsten Artikel werden wir über die Anwendbarkeit wichtiger DLP-Systeme in Komponentenmodulen auf die Empfehlungen des amerikanischen NIST US-Standards sprechen.